Sejak beberapa tahun kebelakangan ini, Cisco secara aktif mempromosikan seni bina baharu untuk membina rangkaian penghantaran data di pusat data - Infrastruktur Sentrik Aplikasi (atau ACI). Ada yang sudah biasa dengannya. Dan ada juga yang berjaya melaksanakannya di perusahaan mereka, termasuk di Rusia. Walau bagaimanapun, bagi kebanyakan profesional IT dan pengurus IT, ACI masih sama ada akronim yang tidak jelas atau hanya refleksi tentang masa depan.
Dalam artikel ini kami akan cuba mendekatkan masa depan ini. Untuk melakukan ini, kita akan bercakap tentang komponen seni bina utama ACI, dan juga menggambarkan bagaimana ia boleh digunakan dalam amalan. Di samping itu, dalam masa terdekat kami akan menganjurkan demonstrasi visual ACI, yang mana mana-mana pakar IT yang berminat boleh mendaftar.
Anda boleh mengetahui lebih lanjut tentang seni bina rangkaian baharu di St. Petersburg pada Mei 2019. Semua butiran ada dalam . Daftar!
prasejarah
Model pembinaan rangkaian tradisional dan paling popular ialah model hierarki tiga peringkat: teras -> pengedaran (pengagregatan) -> akses. Selama bertahun-tahun, model ini adalah standard; pengeluar menghasilkan pelbagai peranti rangkaian dengan fungsi yang sesuai untuknya.
Sebelum ini, apabila teknologi maklumat adalah sejenis lampiran yang diperlukan (dan, terus terang, tidak selalu dikehendaki) kepada perniagaan, model ini mudah, sangat statik dan boleh dipercayai. Walau bagaimanapun, kini IT adalah salah satu pemacu pembangunan perniagaan, dan dalam banyak kes perniagaan itu sendiri, sifat statik model ini telah mula menimbulkan masalah besar.
Perniagaan moden menjana sejumlah besar keperluan kompleks yang berbeza untuk infrastruktur rangkaian. Kejayaan perniagaan secara langsung bergantung pada masa pelaksanaan keperluan ini. Kelewatan dalam keadaan sedemikian tidak boleh diterima, dan model klasik pembinaan rangkaian selalunya tidak membenarkan memenuhi semua keperluan perniagaan tepat pada masanya.
Sebagai contoh, kemunculan aplikasi perniagaan kompleks baharu memerlukan pentadbir rangkaian untuk melaksanakan sejumlah besar operasi rutin serupa pada sejumlah besar peranti rangkaian berbeza pada tahap yang berbeza. Selain memakan masa, ia juga meningkatkan risiko membuat kesilapan, yang boleh menyebabkan masa berhenti perkhidmatan IT yang serius dan, akibatnya, kerugian kewangan.
Punca masalah bukanlah tarikh akhir itu sendiri atau kerumitan keperluan. Hakikatnya ialah keperluan ini perlu "diterjemahkan" daripada bahasa aplikasi perniagaan kepada bahasa infrastruktur rangkaian. Seperti yang anda ketahui, sebarang terjemahan sentiasa kehilangan makna separa. Apabila pemilik aplikasi bercakap tentang logik aplikasinya, pentadbir rangkaian memahami satu set VLAN, senarai Akses pada berpuluh-puluh peranti yang perlu disokong, dikemas kini dan didokumenkan.
Pengalaman terkumpul dan komunikasi berterusan dengan pelanggan membolehkan Cisco mereka bentuk dan melaksanakan prinsip baharu untuk membina rangkaian penghantaran data pusat data yang memenuhi trend moden dan berdasarkan, pertama sekali, pada logik aplikasi perniagaan. Oleh itu namanya - Infrastruktur Sentrik Aplikasi.
seni bina ACI.
Adalah paling tepat untuk mempertimbangkan seni bina ACI bukan dari sisi fizikal, tetapi dari sisi logik. Ia adalah berdasarkan model dasar automatik, objek yang di peringkat teratas boleh dibahagikan kepada komponen berikut:
- Rangkaian berdasarkan suis Nexus.
- Kelompok pengawal APIC;
- Profil permohonan;
Mari kita lihat setiap peringkat dengan lebih terperinci - dan kita akan beralih daripada mudah kepada kompleks.
Rangkaian berdasarkan suis Nexus
Rangkaian di kilang ACI adalah serupa dengan model hierarki tradisional, tetapi ia lebih mudah untuk dibina. Model Leaf-Spine digunakan untuk mengatur rangkaian, yang telah menjadi pendekatan yang diterima umum untuk melaksanakan rangkaian generasi akan datang. Model ini terdiri daripada dua peringkat: Spine dan Leaf, masing-masing.
Tahap Tulang Belakang hanya bertanggungjawab untuk prestasi. Jumlah prestasi suis Spine adalah sama dengan prestasi keseluruhan fabrik, jadi suis dengan port 40G atau lebih tinggi harus digunakan pada tahap ini.
Suis tulang belakang bersambung ke semua suis pada tahap seterusnya: Suis daun, yang mana hos hujung disambungkan. Peranan utama suis Daun ialah kapasiti port.
Oleh itu, isu penskalaan mudah diselesaikan: jika kita perlu meningkatkan daya pemprosesan fabrik, kita menambah suis Spine, dan jika kita perlu meningkatkan kapasiti port, kita menambah Leaf.
Untuk kedua-dua peringkat, suis siri Cisco Nexus 9000 digunakan, yang bagi Cisco adalah alat utama untuk membina rangkaian pusat data, tanpa mengira seni binanya. Untuk lapisan Spine, suis Nexus 9300 atau Nexus 9500 digunakan dan untuk Leaf sahaja Nexus 9300.
Julat model suis Nexus yang digunakan dalam kilang ACI ditunjukkan dalam rajah di bawah.
Kluster Pengawal APIC (Application Policy Infrastructure Controller).
Pengawal APIC ialah pelayan fizikal khusus, manakala untuk pelaksanaan kecil adalah mungkin untuk menggunakan kluster satu pengawal APIC fizikal dan dua pengawal maya.
Pengawal APIC menyediakan fungsi kawalan dan pemantauan. Perkara penting ialah pengawal tidak pernah mengambil bahagian dalam pemindahan data, iaitu, walaupun semua pengawal kluster gagal, ini tidak akan menjejaskan kestabilan rangkaian sama sekali. Perlu diingatkan juga bahawa dengan bantuan APIC, pentadbir menguruskan sepenuhnya semua sumber fizikal dan logik kilang, dan untuk membuat sebarang perubahan, tidak perlu lagi menyambung ke peranti tertentu, kerana ACI menggunakan satu titik kawalan.
Sekarang mari kita beralih kepada salah satu komponen utama ACI - profil aplikasi.
Profil Rangkaian Aplikasi adalah asas logik ACI. Profil aplikasilah yang menentukan dasar interaksi antara semua segmen rangkaian dan menerangkan segmen rangkaian itu sendiri. ANP membolehkan anda membuat abstrak daripada lapisan fizikal dan, sebenarnya, bayangkan bagaimana anda perlu mengatur interaksi antara segmen rangkaian yang berbeza dari sudut aplikasi.
Profil aplikasi terdiri daripada kumpulan sambungan (Kumpulan titik akhir - EPG). Kumpulan sambungan ialah kumpulan logik hos (mesin maya, pelayan fizikal, bekas, dll.) yang terletak dalam segmen keselamatan yang sama (bukan rangkaian, tetapi keselamatan). Hos akhir yang tergolong dalam EPG tertentu boleh ditentukan oleh sejumlah besar kriteria. Yang berikut biasanya digunakan:
- Pelabuhan fizikal
- Port logik (kumpulan port pada suis maya)
- ID VLAN atau VXLAN
- Alamat IP atau subnet IP
- Atribut pelayan (nama, lokasi, versi OS, dll.)
Untuk interaksi EPG yang berbeza, entiti yang dipanggil kontrak disediakan. Kontrak mentakrifkan hubungan antara EPG yang berbeza. Dalam erti kata lain, kontrak itu mentakrifkan perkhidmatan yang disediakan oleh satu EPG kepada EPG yang lain. Sebagai contoh, kami membuat kontrak yang membenarkan trafik mengalir melalui protokol HTTPS. Seterusnya, kami berhubung dengan kontrak ini, sebagai contoh, EPG Web (sekumpulan pelayan web) dan EPG App (sekumpulan pelayan aplikasi), selepas itu kedua-dua kumpulan terminal ini boleh bertukar-tukar trafik melalui protokol HTTPS.
Rajah di bawah menerangkan contoh penyediaan komunikasi antara EPG yang berbeza melalui kontrak dalam ANP yang sama.
Terdapat sebarang bilangan profil aplikasi dalam kilang ACI. Selain itu, kontrak tidak terikat pada profil aplikasi tertentu; ia boleh (dan harus) digunakan untuk menyambungkan EPG dalam ANP yang berbeza.
Malah, setiap aplikasi yang memerlukan rangkaian dalam satu bentuk atau yang lain diterangkan oleh profilnya sendiri. Sebagai contoh, rajah di atas menunjukkan seni bina standard aplikasi tiga peringkat, yang terdiri daripada bilangan N pelayan akses luaran (Web), pelayan aplikasi (Apl) dan pelayan DBMS (DB), dan juga menerangkan peraturan interaksi antara mereka. Dalam infrastruktur rangkaian tradisional, ini akan menjadi satu set peraturan yang ditulis merentas pelbagai peranti dalam infrastruktur. Dalam seni bina ACI, kami menerangkan peraturan ini dalam satu profil aplikasi. ACI, menggunakan profil aplikasi, menjadikannya lebih mudah untuk membuat sejumlah besar tetapan pada peranti yang berbeza dengan mengumpulkan semuanya ke dalam satu profil.
Gambar di bawah menunjukkan contoh yang lebih realistik. Profil aplikasi Microsoft Exchange yang dibuat daripada berbilang EPG dan kontrak.
Pengurusan pusat, automasi dan pemantauan adalah salah satu faedah utama ACI. Kilang ACI melegakan pentadbir daripada kerja yang membosankan untuk mencipta sejumlah besar peraturan pada pelbagai suis, penghala dan tembok api (sementara kaedah konfigurasi manual klasik dibenarkan dan boleh digunakan). Tetapan untuk profil aplikasi dan objek ACI lain digunakan secara automatik di seluruh fabrik ACI. Walaupun secara fizikal menukar pelayan ke port lain suis fabrik, tidak perlu menduplikasi tetapan daripada suis lama kepada yang baharu dan mengosongkan peraturan yang tidak perlu. Berdasarkan kriteria keahlian EPG hos, kilang akan membuat tetapan ini secara automatik dan secara automatik membersihkan peraturan yang tidak digunakan.
Dasar keselamatan ACI bersepadu dilaksanakan sebagai senarai putih, bermakna perkara yang tidak dibenarkan secara eksplisit adalah dilarang secara lalai. Bersama-sama dengan pengemaskinian automatik konfigurasi peralatan rangkaian (mengalih keluar peraturan dan kebenaran yang "terlupa" yang tidak digunakan), pendekatan ini meningkatkan tahap keseluruhan keselamatan rangkaian dengan ketara dan mengecilkan permukaan kemungkinan serangan.
ACI membolehkan anda mengatur interaksi rangkaian bukan sahaja mesin dan bekas maya, tetapi juga pelayan fizikal, tembok api perkakasan dan peralatan rangkaian pihak ketiga, yang menjadikan ACI sebagai penyelesaian yang unik pada masa ini.
Pendekatan baharu Cisco untuk membina rangkaian data berdasarkan logik aplikasi bukan sahaja mengenai automasi, keselamatan dan pengurusan berpusat. Ia juga merupakan rangkaian berskala mendatar moden yang memenuhi semua keperluan perniagaan moden.
Pelaksanaan infrastruktur rangkaian berdasarkan ACI membolehkan semua jabatan perusahaan bercakap bahasa yang sama. Pentadbir hanya dipandu oleh logik aplikasi, yang menerangkan peraturan dan sambungan yang diperlukan. Serta logik aplikasi, pemilik dan pembangun aplikasi, perkhidmatan keselamatan maklumat, ahli ekonomi dan pemilik perniagaan dipandu olehnya.
Oleh itu, Cisco mempraktikkan konsep rangkaian pusat data generasi akan datang. Mahu melihat ini sendiri? Datang ke demonstrasi Infrastruktur Berpusatkan Aplikasi di St. Petersburg dan bekerjasama dengan rangkaian pusat data masa depan sekarang.
Anda boleh mendaftar untuk acara tersebut .
Sumber: www.habr.com